国H零失分防守经验:蜜罐环绕靶标的围点打援策略

admin 2024年7月8日17:03:25评论3 views字数 2162阅读7分12秒阅读模式
国H零失分防守经验:蜜罐环绕靶标的围点打援策略
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

 Part1 前言 

大家好,我是ABC_123。作为了一个打了8年红队和多年国护的老兵,之前在qax时期和团队一起有一次国护零失分防守经历,于是也分享一下蓝队防守经验。ABC_123专门研究了以前留下来的资料,结合现有的一些新的防护手段和思路,把这些宝贵的思路和经验以连载的形式分享给大家,对我自己也是一个很大的提高。对比下来,红队的攻击思路都是不存在争议的,而蓝队防守的一些观点会存在很多的讨论空间。

 Part2 技术研究过程 

  • 蜜罐环绕靶标的“围点打援”

对于靶标的防护一般是重中之重,如果攻击者通过外围打点或者社工钓鱼等手段突破了网络边界,经过一系列内网横向,最终打到了靶标段,已经开始对靶标进行探测。在这种情况下,已经说明整个安全体系已经被突破,外网的WAF、主机的终端防护、各vlan间的流量监控等等,已经阻挡不了攻击者的步伐。

为了应对这种情况,我们当时设计了后来被证明非常可行的思路,梳理了攻击者可能拿下靶标的攻击路径,在每一条攻击路径的重要节点放置蜜罐;在靶标所处的C段,围绕靶标放置很多蜜罐。在攻击者尝试通过内网横向拿下靶标的过程中,蜜罐的告警可以及时反应攻击者的内网横向进程,快速定位攻击者在内网的源头IP。一旦蜜罐发生告警,及时将源IP主机下线,进行应急处置,相当于打掉了攻击队的一个内网据点,来一个打掉一个。

国H零失分防守经验:蜜罐环绕靶标的围点打援策略

优点:笔者在以往参与红队实战演练过程中,遇到过这种情况:在攻打靶标的时候,由于靶标系统完全是蜜罐围绕起来的一个孤岛,这写蜜罐几乎是攻下靶标的必经之路。我们手中的内网的几个关键据点或者跳板机,都因攻打靶标的过程中全部掉线,对我们造成了非常大的困扰,也间接证明了这个方法的可行性。

注:这种策略防不了两种情况:

1、集权系统失陷:就是攻击者进入内网后,直接通过0day拿下堡垒机系统权限或者集权设备权限,或者通过Nday漏洞/NTLM中继等方法拿下域控权限,最终导致内网关键业务系统全部沦陷,从中翻到靶标系统,不用经过蜜罐,直连靶标系统的情况。

2、靶标暴露公网:有些单位上报靶标资产,但其靶标暴露在公网上,相当于直接暴露给攻击队员,对靶标的攻击路径也就不需要经过蜜罐。这种情况下,攻击队员可以从各种渠道收集源码,审计出一个0day,可以直接将目标单位打穿出局。

  • 不同vlan内部署蜜罐

一般来讲,比较建议在内网的不同vlan间都部署蜜罐设备,因为防守策略一定是多重的,一旦一些防护被绕过或者没有被检测到,蜜罐就成了坚守岗位的小哨兵,蜜罐的告警也可能是最后一道防线。

对于这种策略,蜜罐仿真度要高,可以在蜜罐里放置一些脱敏的真实数据,提高其可信度诱捕攻击队员;外网可以部署一些办公蜜罐,内网可以部署集权系统蜜罐、靶标系统蜜罐;在内网主机上,也可以伪造一些高危的端口,一两个端口足够,伪造端口太多了,反而容易被攻击者发现异常;这些端口可以进行流量转发,转发到内网的蜜罐系统,这些可以给攻击者带来不小的阻挠。

国H零失分防守经验:蜜罐环绕靶标的围点打援策略

这里需要注意的是,蜜罐放置在外网,还是要谨慎一些,这里有多个原因:

1、二级域名问题:蜜罐放在二级域名,容易出现一些风险:被境外组织误以为是真实网站,直接植入一些政治敏感页面,会造成甲方客户说不清道不明。

2、虚拟机逃逸问题:部分蜜罐系统可能会是docker小集群,因此需要考虑到虚拟机逃逸0day漏洞的情况。网络隔离策略一定要做好,目前一些国内的高级红队,存在多个虚拟机逃逸0day漏洞,具体影响范围和适用范围不清楚。

3、网络隔离问题:ABC_123之前做红队评估项目,遇到过2、3次蜜罐网络隔离没有做好的情况。拿下蜜罐之后,放置一个fscan内网扫描工具,扫一个大B段,还真能遇到能真实网络的情况。所以红队人员遇到蜜罐的时候,也不要放弃,说不定真有所突破。

  • 红队破解”围点打援”的”围魏救赵”策略

攻防总是相对的,“围点打援”这种策略,也有破解方法,ABC_123在分析国外的APT案例的时候,看到关于这方面的战术。攻击者在内网横向过程中,原本目标是攻下A系统,但是攻击过程已经被监测发现,受害者已经开始应急。于是攻击者故意去攻击B系统,用各种手段使其出现大量的告警及设备日志,造成一种攻击目标是B系统的假象,使应急响应人员消耗大量精力在B系统的防护上,而暗地里却一直在缓慢攻击A系统。

国H零失分防守经验:蜜罐环绕靶标的围点打援策略

这就像极了在历史课本上讲的军事战争中的故事,A国使用“围点打援”的战术将B国的军队团团围起来,围而不攻,在对B国救援的必经之路上,布置好伏兵和弓箭手,来一个队伍消灭一个队伍;随后B国想出一个策略,将A国的另一支队伍围困起来,导致A国为了救援,放弃围点策略,分出兵力去救援。这就是经典的“围魏救赵”。

原文始发于微信公众号(听风安全):国H零失分防守经验:蜜罐环绕靶标的围点打援策略

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日17:03:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   国H零失分防守经验:蜜罐环绕靶标的围点打援策略https://cn-sec.com/archives/2925899.html

发表评论

匿名网友 填写信息